URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 123499
[ Назад ]
Исходное сообщение
"GitHub устранил уязвимость, приводившую к подмене сеанса пользователя"
Отправлено opennews , 09-Мрт-21 10:02 
GitHub сообщил о сбросе всех аутентифицированных сеансов к GitHub.com и необходимости подключиться к сервису вновь из-за выявления проблемы с безопасностью. Отмечается, что проблема проявляется очень редко и затрагивает лишь небольшое число сеансов, но потенциально представляет большую опасность, так как  позволяет одному аутентифицированному пользователю получить доступ к сеансу другого пользователя...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=54723

Содержание
Сообщения в этом обсуждении
"GitHub устранил уязвимость, приводившую к подмене сеанса пол..."
Отправлено КО , 09-Мрт-21 10:02 
Хотел уже начать ныть что дырень и лохи, но подумал что всякое бывает чего уж там.
Лишь бы не маскировали данным апдейтом очередные бэкдоры.
"GitHub устранил уязвимость, приводившую к подмене сеанса пол..."
Отправлено Аноним , 09-Мрт-21 10:10 
А я думал, чего у меня в последнее время периодически файерфокс баговал, когда я заходил на discourse с логином через гитхаб (файерфокс тупо пустую страницу показывал) и приходилось сбрасывать куки браузера.
"GitHub устранил уязвимость, приводившую к подмене сеанса пол..."
Отправлено t28 , 09-Мрт-21 10:15 
Вы попали в пресловутые "0.001% от всех аутентифицированных сеансов".
"GitHub устранил уязвимость, приводившую к подмене сеанса пол..."
Отправлено Аноним , 09-Мрт-21 10:29 
Я че-то сомневаюсь, что они раскрыли истинные проценты (кто себе будет репутацию руинить), потому что делать это мне приходилось раз 5
"GitHub устранил уязвимость, приводившую к подмене сеанса пол..."
Отправлено Нанобот , 09-Мрт-21 12:37 
А я думаю, истинные проценты никто не считал и число 0.001% взято с потолка
"GitHub устранил уязвимость, приводившую к подмене сеанса пол..."
Отправлено shithub , 09-Мрт-21 12:43 
Мы сбрасывали-то не 0001%, а все подряд ;-)

"GitHub устранил уязвимость, приводившую к подмене сеанса пол..."
Отправлено Аноним , 09-Мрт-21 10:51 
С утра захожу на GitHub и вижу, что я не авторизован — подумал, что проблемы с хранилищем cookies в Chromium. Оказалось иначе.
"GitHub устранил уязвимость, приводившую к подмене сеанса пол..."
Отправлено Иваня , 09-Мрт-21 11:22 
То-то я думал, а что это у меня авторизация на GitHub слетела, а оно вон оно что. Молодцы, хвалю.
"GitHub устранил уязвимость, приводившую к подмене сеанса пол..."
Отправлено Аноним , 09-Мрт-21 13:11 
Все эти вещи начали происходить после покупки ГитХаба Майкрософтом.

Майкрософт - это деградация.

"GitHub устранил уязвимость, приводившую к подмене сеанса пол..."
Отправлено Урри , 09-Мрт-21 13:23 
Исправление дыр - деградация? Аноним, ты в своем уме?
"GitHub устранил уязвимость, приводившую к подмене сеанса пол..."
Отправлено Ilya Indigo , 09-Мрт-21 13:44 
> Вызывающие проблему изменения были внесены 8 февраля...
"GitHub устранил уязвимость, приводившую к подмене сеанса пол..."
Отправлено Аноним , 09-Мрт-21 15:53 
Кстати деграднула UI которая стала тупить и тормозить, неизвестно чего они туда понапихали и каких зондов но раньше летало и это еще без жабаскрипта.
"GitHub устранил уязвимость, приводившую к подмене сеанса пол..."
Отправлено Dzen Python , 09-Мрт-21 22:33 
Ну зато все стильно-модно-молодежно. И гендерно нейтрально. И расово толерантно.
"GitHub устранил уязвимость, приводившую к подмене сеанса пол..."
Отправлено Аноним , 11-Мрт-21 19:21 
Визуально, как-раз таки, ничего не поменялось. Такое впечатление что специально сделаны тормоза, ну не верю я что дизигнеры на столько деграданты, либо конечно мстят за невыплату зп
"GitHub устранил уязвимость, приводившую к подмене сеанса пол..."
Отправлено Последний из могикан , 15-Мрт-21 20:11 
Белый консервативный шовинист
"GitHub устранил уязвимость, приводившую к подмене сеанса пол..."
Отправлено Аноним , 10-Мрт-21 21:23 
> но раньше летало и это еще без жабаскрипта

Там вроде всегда js был.

"GitHub устранил уязвимость, приводившую к подмене сеанса пол..."
Отправлено Аноним , 09-Мрт-21 14:05 
Они купили гитхаб, чтоб выгнать всех разработчиков и заменить индусами?
"GitHub устранил уязвимость, приводившую к подмене сеанса пол..."
Отправлено Аноним84701 , 09-Мрт-21 14:17 
> Они купили гитхаб, чтоб выгнать всех разработчиков и заменить индусами?

С этим там успешно справлялись и сами, еще до покупки.
Я уже и не помню когда та же менюшка выбора бранча/тега, работала не то что без ЖС (а были, были времена!), но хотя бы не требовала последней-предпоследней версии хромолисы.


"GitHub устранил уязвимость, приводившую к подмене сеанса пол..."
Отправлено Аноним , 09-Мрт-21 15:34 
А почему у вас не последняя версия хромолисы?
"GitHub устранил уязвимость, приводившую к подмене сеанса пол..."
Отправлено Аноним , 10-Мрт-21 04:50 
Некоторые, например, сидят на ESR.
"GitHub устранил уязвимость, приводившую к подмене сеанса пол..."
Отправлено Аноним , 10-Мрт-21 10:45 
Больно?
"GitHub устранил уязвимость, приводившую к подмене сеанса пол..."
Отправлено пох. , 10-Мрт-21 16:52 
Кстати, очень забавно что чуть ли не половина кода небезызвестного плагина (опять сломали, между нами) занимается вовсе не починкой шитхаба, а отламыванием бесконечных csp подлянок этого самого шитхаба, изо всех сил старающегося заблокировать расширениям такую возможность. Кажется, потому и сломалось - там опять еще более улучшили csp.

И, если ты проспал, без js (без особого, шитхабовского js с тормозными перемигивающимися модными полифилами) теперь там не работает вообще ничего. Вот совсем, а не только выбор версии. Воистину, достижение для сайта, чья единственная задача - просто показывать текст исходника. И чяяяяятик, конечно, но если он сломается, никто из  нас, полагаю, не заметит.

"GitHub устранил уязвимость, приводившую к подмене сеанса пол..."
Отправлено Аноним84701 , 11-Мрт-21 00:12 
> И, если ты проспал, без js (без особого, шитхабовского js с тормозными
> перемигивающимися модными полифилами) теперь там не работает вообще ничего. Вот совсем,
> а не только выбор версии.

Да нет, все "норм" -- вместо описания/комментария, времени и автора коммита показывает только серые прямоугольники (на фоне загрузки 1.18 MB данных без JS-скриптов, для простой странички мелкого проекта -- очешуительная экономия, однако!), но кликнуть на ссылку и увидеть код все еще можно.

С другой стороны, я и не знаю уже, как оно "должно работать" на самом деле -- подозреваю, что даже в последнем FF-ESR, без скрипторезки, оно показывается ущербно.

"GitHub устранил уязвимость, приводившую к подмене сеанса пол..."
Отправлено пох. , 11-Мрт-21 00:22 
кот можно, дифф - уже нет.

Серые прямоугольники, если что, еще тоже надо загрузить и отрисовать.

P.S. если у тебя совсем древняя, 52я мурзилалтс - найди плагин justoff, и добавь или замени там в исходнике симанку на мурзилу - увидишь, где. Полагаю, починитсо. Не забудь проверить консоль на тему вони про csp, если есть - выключи на..й.

"GitHub устранил уязвимость, приводившую к подмене сеанса пол..."
Отправлено Аноним , 09-Мрт-21 16:59 
Правильно не так. Всякие iPony и Fracta1L'ы сначала на гавнокодили ошибку а потом вызывали нормальных людей её исправить.
"GitHub устранил уязвимость, приводившую к подмене сеанса пол..."
Отправлено пох. , 10-Мрт-21 16:22 
Но по вызову явилась индусская бригада, сбросила всем сессии и отчиталась о невиданном успехе в борьбе с безопастностью.

"GitHub устранил уязвимость, приводившую к подмене сеанса пол..."
Отправлено Аноним , 09-Мрт-21 20:32 
Ну и зря.
"GitHub устранил уязвимость, приводившую к подмене сеанса пол..."
Отправлено Аноним , 09-Мрт-21 23:27 
Лучше бы не устранял.